Den iranske hackergruppen MuddyWater har rammet mer enn 100 statlige institusjoner med sin Phoenix-bakdørkampanje. Angrepene avslører en fornyet cyberoffensiv fra den statsstøttede aktøren. Gruppen, som også går under navnene Static Kitten, Mercury og Seedworm, retter seg mot høyt verdsatte mål i Midtøsten og Nord-Afrika.
Fornyede angrep i regionen
Den 19. august startet MuddyWater en avansert phishing-kampanje gjennom et kompromittert e-postkonto som angriperne hadde fått tilgang til via NordVPN. Kampanjen sendte skadelige dokumenter til ambassader, konsulater og utenriksdepartement, og etterlignet legitim korrespondanse.
Den 24. august stengte angriperne ned serveren og dens Command-and-Control (C2)-komponent, trolig for å markere starten på en ny angrepsfase. Etter dette brukte gruppen antakelig flere verktøy for å samle etterretning fra allerede infiserte systemer.
Gamle teknikker, nye mål
Forskere oppdaget at angriperne benyttet skadelige Word-dokumenter med makrokode — en aldrende, men fortsatt effektiv metode. Når mottakeren klikket «Aktiver innhold», kjørte makroene og distribuerte FakeUpdate-lasteren.
Denne lasteren dekrypterte og installerte Phoenix-bakdøren. Malware-et la seg dypt i systemet og lagret seg som C:\ProgramData\sysprocupdate.exe. Angriperne sikret vedvarende tilgang ved å endre Windows-registeret, slik at programmet startet automatisk ved hver omstart.
Phoenix v4: smartere og mer skjult
Den oppdaterte versjonen, Phoenix v4, introduserer nye vedvarende mekanismer og forbedrede datainnsamlingsfunksjoner. Den samler inn systeminformasjon som datamaskinnavn, Windows-versjon og brukeropplysninger for å profilere ofrene.
Malwaren kommuniserer med sin C2-server via WinHTTP og støtter kommandoer for filopplasting og -nedlasting, shell-oppstart og justering av søvnintervaller. Disse funksjonene gir angriperne finmasket kontroll over infiserte enheter samtidig som de reduserer sjansen for oppdagelse.
Flere verktøy i kampanjen
I tillegg til Phoenix brukte MuddyWater en skreddersydd infostealer som målrettet nettleserdatabaser i Chrome, Edge, Brave og Opera. Dette verktøyet hentet ut lagrede påloggingsdata og dekrypteringsnøkler.
Forskerne fant også legitime fjernadministrasjonsverktøy som PDQ og Action1 RMM på angripernes infrastruktur. Slike verktøy misbrukes ofte i iransk tilknyttede operasjoner for omfattende systemkontroll og masseutrulling av programvare.
Konklusjon
Phoenix-bakdørkampanjen fra den iranske gruppen viser at MuddyWater stadig utvikler sine spionasjeorienterte metoder. Ved å gjenbruke eldre teknikker som skadelige makroer og kombinere dem med moderne bakdørsteknologi, utgjør gruppen fortsatt en alvorlig trussel mot statlige nettverk i Midtøsten og utover.
0 svar til “Iranske hackere utnytter Phoenix-bakdøren mot 100 myndigheter”